loader

SMS dva faktorja Auth ni popoln, vendar bi ga še vedno morali uporabljati

Anonim

V iskanju popolne varnosti je popoln sovražnik dobrega. Ljudje kritizirajo dvofaktorsko avtentikacijo, ki temelji na SMS-ju, takoj za Redditovo hack, vendar je uporaba dveh faktorjev, ki temeljijo na SMS, še vedno veliko boljša kot neuporaba dvofaktorske avtentikacije.

Več kot 90% uporabnikov Gmaila ne uporablja avtentikacije z dvema faktorjema

Varnostni strokovnjaki, ki govorijo o preverjanju SMS-a, da niso dovolj dobri, so predaleč pred seboj. Več kot 90% uporabnikov Gmaila sploh ne uporablja nobenega preverjanja pristnosti z dvema faktorjema, kar je predstavila predstavitev, ki jo je Google inženir Grzegorz Milka podal na USENIX Enigma 2018. Najpomembnejša stvar, ki jo večina ljudi lahko stori, da se zaščitijo na spletu, je omogočiti katero koli vrsto preverjanje pristnosti z dvema faktorjema za njihove pomembne račune.

Pomislite na to tako. Recimo, da želite postaviti ključavnico na vhodna vrata, da zaščitite vaš dom. Varnostni strokovnjaki se prepirajo, da je najboljša vrsta zaklepanja na voljo boljše od cenejših ključavnic. Seveda, smiselno. Toda, če vam ta dražja ključavnica ni na voljo, ni boljše, da bi imeli cenejšo ključavnico še boljšo, kot če sploh ne bi imeli ključavnice?

Da, preverjanje pristnosti z dvema faktorjema na podlagi aplikacije je boljše od preverjanja pristnosti, ki temelji na SMS. Ampak, če je SMS vse, kar storitev ponuja, je še vedno bolje, kot da je ne uporabljate.

Dva faktorja, ki temeljijo na SMS, ima nekaj slabosti, vendar tega ni. Napadalec bo moral preživeti nekaj časa, da se izogne ​​preverjanju sporočila SMS. In večina tarč verjetno ni vredna toliko truda.

Zakaj potrebujete avtentifikacijo z dvema faktorjema

Dvofaktorsko preverjanje pristnosti se imenuje zato, ker morate v račun imeti dve stvari: nekaj, kar poznate (geslo), in nekaj, kar imate (dodatno varnostno kodo iz mobilne naprave ali fizični žeton).

Ko omogočite preverjanje pristnosti z dvema faktorjema, ki temelji na SMS, bo storitev vaši mobilni telefonski številki poslala besedilno sporočilo, ki bo vsebovalo enkratno kodo, ko se boste prijavili iz nove naprave. Torej, tudi če ima nekdo vaše uporabniško ime in geslo za ta račun, se ne bo mogel prijaviti v vaš račun brez dostopa do besedilnih sporočil.

Obstajajo tudi druge vrste metod z dvema faktorjema, vključno z aplikacijami v telefonu, ki ustvarjajo začasne varnostne kode in fizične varnostne ključe, ki jih morate priključiti v računalnik.

Vsaka vrsta preverjanja pristnosti z dvema faktorjema zagotavlja veliko zaščite za pomembne račune, kot so e-pošta, družabni mediji in bančni računi. To še posebej velja, če ponovno uporabite gesla. Mnogi ljudje ponovno uporabljajo gesla na več spletnih mestih in, če pušča baza podatkov gesel ene spletne strani, se lahko to geslo uporabi za prijavo v njihove e-poštne račune. Dvofaktorsko preverjanje pristnosti bi ustavilo to pravico na njeni poti.

To ne pomeni, da morate ponovno uporabljati gesla. Gesel ne smete ponovno uporabljati. Za sledenje močnim, edinstvenim geslom uporabite dober upravitelj gesel.

Zakaj ljudje trdijo, da je preverjanje pristnosti SMS slabo?

Dvofaktorsko preverjanje pristnosti, ki temelji na SMS, ni idealno, ker bi lahko kdo ukradel vašo telefonsko številko ali prestregel vaša besedilna sporočila. Na primer:

  • Napadalec bi se lahko poosebil in premaknil vašo telefonsko številko na nov telefon v prevarah s prenosom telefonske številke. To je najverjetnejši napad.
  • Napadalec lahko prestreže SMS sporočila, ki so namenjena vam. Lahko bi na primer prekrivali celični stolp v vaši bližini ali pa bi vlada uporabila njegov dostop do mobilnega omrežja za posredovanje sporočil.

Zato strokovnjaki priporočajo uporabo druge metode z dvema faktorjema, ki je ni mogoče tako zlahka zlorabiti s strani nacionalnih držav in ni ranljiva, če vaš mobilni operater da vašo telefonsko številko nekomu drugemu. Če kodo dobite iz aplikacije v telefonu ali fizičnega varnostnega ključa, ki ga priključite, dvofaktor ni občutljiv na težave s telefonskim omrežjem. Napadalec bi potreboval vaš odklenjen telefon ali fizični varnostni ključ, ki ga morate prijaviti.

Seveda, v popolnem svetu, SMS ni idealna rešitev. Pojasnili smo, zakaj varnostnim strokovnjakom ni všeč dvostopenjsko preverjanje pristnosti, ki temelji na SMS. Toda tudi takrat, ko smo postavili ta primer, smo poskušali narediti nekaj jasnega: SMS-osnovana dvofaktorska avtentikacija je veliko, veliko boljša kot nič.

Nekateri ljudje potrebujejo več varnosti kot SMS

Povprečna oseba je za zdaj v redu s preverjanjem pristnosti, ki temelji na SMS. Preverjanje pristnosti, ki temelji na SMS, povzroči, da napadalci preživijo veliko dodatnih težav, da bi vstopili v vaš račun, in verjetno niste vredni svojih težav, kadar so tam še drugi lažji in bolj sočni cilji. Večina ljudi celo ne uporablja preverjanja pristnosti SMS, splet pa bi bil veliko bolj varen kraj, če bi vsi to storili.

Ljudje, za katere je verjetno, da bodo ciljno usmerjeni na napredne napadalce, se morajo izogibati preverjanju pristnosti, ki temelji na SMS. Na primer, če ste politik, novinar, slaven ali poslovni vodja, ste lahko tarča. Če ste oseba z dostopom do občutljivih poslovnih podatkov, sistemski skrbnik z globokim dostopom do občutljivih sistemov ali samo nekdo, ki ima veliko denarja v banki, je lahko SMS preveč tvegano.

Ampak, če ste povprečna oseba z računom Gmail ali Facebook in nihče nima razloga, da bi porabil veliko časa za dostop do vaših računov, je preverjanje pristnosti SMS v redu in absolutno ga morate omogočiti, namesto da bi uporabili nič.

Ste samo tako varni kot najslabša povezava

Tukaj je še ena žalostna resnica, ki se zdi, da vsi gledajo na to: Tudi če se izognete SMS-ov dvotirni avtentikaciji za račun, je SMS verjetno na voljo kot nadomestna metoda. Na primer, tudi če ustvarite kode z aplikacijo za prijavo v Google Račun, lahko svoj račun obnovite s telefonsko številko. To je zato, da vas zaščitimo, če boste kdaj izgubili dostop do telefona ali žetona z dvema faktorjema.

Z drugimi besedami, številne storitve, verjetno celo najbolj, vam omogočajo, da v svoj račun vstopite s svojo telefonsko številko, tudi če večino časa uporabljate kodo, ki jo je ustvaril program, ali fizični varnostni ključ. Varni ste samo kot najšibkejši člen v sistemu. Poskusite preveriti druge načine, kako se lahko prijavite, če nimate običajne metode.

Zato se morate za resnično zaklepanje Google računa izogibati samo preverjanju pristnosti v dveh korakih. Vpisati se morate tudi v Googlov napredni program za zaščito, ki je Googlovo oglaševanje za »novinarje, aktiviste, poslovneže in skupine za politične kampanje«. Ta brezplačen program zahteva, da za prijavo uporabite fizični varnostni ključ, vendar zahteva tudi veliko več informacije za obnovitev računa.

Uporabite SMS, če trenutno ne uporabljate 2FA

Ne želimo vas ovirati v lažen občutek varnosti: če ste nekdo, ki bi ga ciljno usmerjale tuje vlade, podjetniški vohuni ali organizirani kriminalci, se morate izogibati dvotaktnemu preverjanju pristnosti, ki temelji na SMS, in zakleniti računov z nečim bolj varnim.

Toda, če ste povprečna oseba, ki še ni omogočila preverjanja pristnosti z dvema faktorjema, ne bodite odvrnjeni: dva faktorja, ki temeljijo na SMS-ju, vam bo dala veliko več varnosti kot noben dvokaktor. To je pomembno izhodišče za varnost.

Vsakdo bi moral uporabiti potrditev SMS, če ne bo uporabil boljšega.

Izbira Urednika